我有两种类型的API。如果客户在我们这里注册,可以访问其中一些。他不需要先向用户询问auhorization_grant代码,然后获取access_token来访问这些API。其余的API由正常的oauth流保护。是否有任何SpEL表达式可以帮助我? 客户需要传递哪些详细信息?
答案 0 :(得分:1)
如果客户端代表自己访问API,而不是代表用户访问API,则客户端凭据授予听起来合适。
然后,您可以在PreAuthorize批注中使用oauth2方法级安全表达式“!#oauth2.isClient()”来防止客户端自己访问资源
@PreAuthorize("!#oauth2.isClient()")